Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert

Hielten die scheinbar für eine echt coole Idee, die Marketing-Größen bei einem deutschen Mittelständler – und schickten den Kunden einen USB-Stick, der als Tastatur fungiert. Die Geschichte ist mir aktuell bei Google+ unter die Augen gekommen – und angesichts der Beteiligten halte ich es nicht für eine Fake News (obwohl es naheliegend wäre). Und falls doch alles fiktiv ist, wäre das ein netter Stupser, das Thema einfach nochmals in den Fokus zu bringen. Nachtrag: Eine ergänzende Stellungnahme von Rittal wurde nachgetragen.


Anzeige

War da was?

So die letzten Tage, Wochen oder Monate? Aktuell haben möglicherweise einige Leute außerhalb der IT gelernt, dass WannyCry kein ‘Wein-Seminar’ ist, sondern veritable Schäden verursacht. Aber auch in den vergangenen Wochen, Monaten oder Jahren gab es immer Hinweise, dass mit USB-Sticks Schädlinge verteilt werden.

Worum geht es genau?

Die Rittal GmbH ist ein Unternehmen mit Sitz in Hessen, welches Schaltschränke, Stromverteilungen, Servergehäuse und mehr herstellt. Die sind mir bereits 1969, während der Lehre durch den Rittal-Aufkleber in jedem neu eingebauten Stahlblech-Zählerschrank begegnet.

Deren Marketing hatte eine scheinbar kluge Idee und beauftragte einen Dienstleister mit der Aussendung von Werbung mit dem Thema ‘Mehr Geschwindigkeit für ihr Business’. Holger Köpke (Reizzentrum-Blog) hat den Fall bei Google+ angerissen (ich bin über Kristian Köhntopp auf das Thema gestoßen).

  • Die Rittal Werbeaussendung enthielt auch einen USB-Stick, den der Empfänger in den Rechner einstecken sollte.
  • Der USB-Stick installierte sich als Human Interface Device (Tastatur) – womit dieses USB-Gerät im Kontext des Benutzerkonto beliebigen Unsinn treiben kann (unabhängig vom Betriebssystem).Ergänzung: Da es nicht jedem Leser klar zu sein scheint – sobald sich das Gerät als Tastatur an Windows anmeldet, kann es alles machen. Tastatureingaben, die Schadcode in Form von Scripten auf der Festplatte ablegen oder irgendwelche Malware per FTP-Befehle herunterladen, wären problemlos möglich.

Ein Fall von geht gar nicht – und auch eine Werbeabteilung sollte sich der Risiken bewusst sein (oder zumindest der Dienstleister, der die Produktion vornahm). Wenn es dumm läuft, ist die Reputation endgültig dahin.

Keine Lust zum Nachdenken?

Gut, nicht ganz Deutschland liest hier im Blog mit und hat deshalb die am Artikelende verlinkten Blog-Beiträge zum Sicherheitsrisiko USB im Hinterkopf. Der Fall Elsevier (Fail: Elsevier verteilt aktiven USB-Dongle mit Webumleitung) ist vielleicht schon wieder zu lange her, als dass sich Leute noch erinnern. Aber auch im Marketing sollte sich in Zeiten von Datenleaks und Phishing-Kampagnen herumgesprochen haben, dass Medien, die zum Kunden gehen, diesen nicht potentiellen Risiken aussetzen oder diesen zum ‘schau mer mal, was da feines drauf ist’ animieren.

Holger Köpke hat daher bei Rittal nachgefragt, ob die Werbung wirklich von der Firma komme (jeder könnte ja ein paar Euro in die Hand nehmen und eine Fake News mit dem Logo von Rittal versenden). Zitat (hier in den Kommentaren nachlesbar):

Sollte der USB-Stick von ihnen verschickt worden sein (was ich kaum glauben kann), so hoffe ich inständig, dass dieser USB-Stick entweder auf dem gesamten Lebensweg (Herstellung, Duplizierung und Versand) 100% sicher begleitet wurde.

Es war ein Wink, der die Empfänger eigentlich hätte aufmerken lassen müssen. Aber die Antwort zeigt ein (noch?) fehlendes Gespür für die Brisanz. Nur mal angemerkt: Die Werbung ist zwar vor Wochen produziert und wohl vor Tagen verschickt worden. Die Anfrage von Holger Köpke muss aber wohl Montag, den 15. Mai 2017, an Rittal gegangen sein. Zur Ehrenrettung der Empfänger: Die Tagesschau hat nix davon berichtet, dass WannaCry per USB-Stick ausgesandt wurde, das kann man nur schwer drauf kommen, dass da ein Problem vorliegen könnte. Die Antwort von Rittal hat Holger Köpke hier dokumentiert.


Werbung

(Quelle: Holger Köpke / via Kristian Köhntopp)

Man hat beim beauftragten Dienstleister nachgefragt, der hat versichert, dass keine Schadsoftware auf dem USB-Stick vorliegt. Zudem haben ‘wir’ ja verantwortliche Nutzer, die den Hinweis lesen, dass man ja auch die Werbe-URL selbst eintippen können, wenn man dem USB-Stick nicht traut. Und damit ist für die Marketing-Verantwortlichen der Fall gegessen.

Halte dem Hund eine frisch ausgepackte Wurst hin und der bellt dir einen vor ‘lies ma die Liste der Inhaltsstoffe vor, bevor ich die fresse’ mit Sicherheit, Pawlow hat’s vor langer Zeit mal bewiesen.

Dass die Antwort daneben ging, ist den Leuten vermutlich nicht klar. Daher greife ich es mal hier mit im Blog auf. Einen Fehler muss man jedem zugestehen (auch mir passieren immer wieder Fehler) – aber möglicherweise hilft die Berichterstattung, dass da jemand bei Rittal aufmerkt. Gundsätzlich gilt: Angesicht des Umstands, dass über (USB-)Medien beliebige Schadsoftware verteilt werden kann (siehe z.B. den aktuellen Blog-Beitrag IBM-Warnung: Malware auf USB-Sticks), sollten Firmen so etwas nicht versenden – und schon gar nicht als Werbeaktion. Ich stelle fest, den WannaCrypt-Zwischenruf: Wir müssen reden … hätte ich noch viel tiefer ansetzen müssen.

Oder wie seht ihr das? Habt ihr Administratoren in den Firmen die USB-Anschlüsse verklebt (USB-Speichermedien blockieren hülfe ja nicht, da der USB-Stick sich als HID-Gerät (Tastatur) meldet).

Ergänzung: Stellungnahme von Rittal

Die Berichterstattung hat auch bei Rittal zu internen Diskussionen geführt. Am 24. 5. 2017 erreichte mich die folgende Stellungnahme von Herrn Dirk Miller,
Executive Vice President Marketing bei Rittal, die ich natürlich gerne wiedergebe.

Guten Tag, Herr Born,

wir haben Ihre aufschlussreichen Hinweise zum Anlass genommen, den gesamten Vorgang sorgfältig zu prüfen.

In der heutigen Zeit, in der immer mehr IT-Systeme vernetzt sind, besteht in der Tat ein allgemein hohes Risiko für die IT-Sicherheit und den Datenschutz. Insofern kann man, da haben Sie recht, nicht vorsichtig genug sein. Wir sind uns nach intensiver Diskussion bei Rittal einig, dass von einem per Post versendeten USB-Stick schon deshalb ein Gefährdungspotenzial ausgeht, weil er auf dem Postweg unbemerkt ausgetauscht werden kann.

Den von uns verwendeten USB-Stick haben wir nach aktuellem Stand der Technik erstellen und prüfen lassen. Dennoch könnte es ratsam sein, generell auf eine AutoRun-Funktion zu verzichten, die weitere Funktionen auf dem Zielrechner des Empfängers ausführt. Das ist uns durch die Auseinandersetzung mit Ihrer konstruktiven Kritik klar geworden, und wir werden diese Erkenntnis bei künftigen Marketing-Aktionen berücksichtigen. Im Zentrum unserer Überlegungen wird stets das Bestreben stehen, auf keinen Fall die IT-Sicherheit unserer Kunden zu gefährden. Schließlich wollen wir für unsere Produkte und Leistungen werben, was nur gelingen kann, wenn unsere Kunden in jeder Hinsicht mit uns zufrieden sind.

Erlauben Sie mir bitte abschließend darauf hinzuweisen, dass wir bei Rittal das Thema IT-Sicherheit generell sehr ernst nehmen. Dafür stehen unter anderem zahlreiche Zertifizierungen, die sich unsere Mitarbeiter in Aus- und Weiterbildungen erworben haben.

Damit sind wir bei der Kernbotschaft: Einen Fehler zu machen, muss man Jedem zugestehen. Positiv: Es sieht so aus, als ob der Vorfall bei der Firma Rittal zu einer Diskussion und hoffentlich geänderten Sicherheitseinschätzung führte (ich interpretiere es so, dass man keine Medien mehr aussenden will). Nachtrag: Auch Holger hat im Blog-Beitrag Rittal reagiert – auf Öffentlichkeit einen Nachtrag veröffentlicht.

Wo es bei (Rittal) noch hakt, ist beim generellen Verständnis: Die erwähnte ‘AutoRun’-Methode funktioniert auf USB-Sticks seit Windows XP-Tagen nicht mehr (wurde aus Sicherheitsgründen per Patch deaktiviert). Diese ist aber für den aktuellen Fall nicht relevant, da die Firmware des USB-Mediums ja als Tastatur funktioniert. Der sich als HID-Gerät identifizierende USB-Stick könnte über die Firmware beliebige Tastencodes senden und sich so seine Malware auf dem Rechner quasi ‘selbst eintippen und starten’. Kristian Köhntopp hat auf Google+ den Mailverkehr mit Rittal diesbezüglich dokumentiert.

Daher gilt: Generell gehören keine (USB-)Medien in Werbeaussendungen – deren Firmware könnte ja auch manipuliert sein – das ist ein absolutes No-Go. Hoffen wir, dass nicht in drei Wochen die nächste Firma ähnliches veranstaltet – und Rittal nicht auf die Idee kommt ‘ohne Autorun können wir das wiederholen’.

Ähnliche Artikel:
WannaCrypt-Zwischenruf: Wir müssen reden …
Black Hat 2014: USB-Geräte als Sicherheitsrisiko
Fail: Elsevier verteilt aktiven USB-Dongle mit Webumleitung
Unpatchbarer Exploit für BadUSB bekannt geworden
IBM-Warnung: Malware auf USB-Sticks


Anzeige
Dieser Beitrag wurde unter Sicherheit, Windows veröffentlicht. Setze ein Lesezeichen auf den Permalink.

10 Responses to Rittal Werbegeschenk: USB-Stick, der als HID-Tastatur agiert

  1. Tim sagt:

    “Zudem haben wir ja verantwortliche Nutzer, die den Hinweis lesen, dass man ja auch die Werbe-URL selbst eintippen können, wenn man dem USB-Stick nicht traut.”

    Um so zu denken, muss man wohl in der Werbung arbeiten… Deren Elektroschrott landet also in der Tonne, schließlich kennen die ihre verantwortlichen Nutzer/Zielgruppen, und morgen gibts eine neue Aktion zum Thema wie umweltverträglich die Firma Rittal doch arbeitet… schließlich

    “Der verantwortliche Umgang mit Ressourcen ist beim Schaltschrank-Hersteller Rittal fest in den Unternehmensgrundsätzen verankert. ”

    Und die “beschenkten” besuchen natürlich freiwillig die Werbeseite und freuen sich darüber…

    Dafür hat Rittal diesen Dienstleister bezahlt…

    Die Werbewelt tickt und funktioniert halt anders… und verstehen muss man das auch nicht. Langsam sollte jeder wissen, das man kaum jemandem trauen sollte, der Werbung macht. Gleiches Niveau wie Kettenbriefe, Hoaxe und Fake News.

    Das solche Werbe-Dienstleister… aber der Mist schießt ja auch wie Pilze aus dem Boden und wird freudig finanziert und funktioniert sogar größtenteils…

  2. Werbung

  3. Blupp sagt:

    Werbefirmen kennen eben keine Schmerzgrenze bzw. sind in Sachen Sicherheit und Weitblick chronisch unterentwickelt, das bewahrheitet sich leider immer wieder.
    Darum gibt es Werbeblocker und auch Sperren für USB. Es macht Sinn sowas konsequent zu nutzen und diese Werbetrolle auszusperren.

  4. Frank Bell sagt:

    Gibt es denn eine effektive Möglichkeit unter Windows 7/8.1, nur GANZ BESTIMMTE Sticks zuzulassen und alle anderen auszusperren?

    Das Problem bei dem Rittal-Stick ist ja, dass er behauptet, eine Tastatur zu sein.

    • christian sagt:

      Neben der Installation und Verwaltung von Hardware über die Gruppenrichtlien anhand der Device-IDs (und über Black- und Whitelists welche Geräte installiert/nicht installiert werden bzw. welche Geräte beschrieben/nicht beschrieben werden dürfen usw.) gibt es noch verschiedene Softwarelösungen die sowas umsetzen. Einige sind Freeware und für andere muss man bezahlen. Das Problem hierbei: die gewünschte Funktion ist nur so gut/sicher wie die dafür geschaffene Software selbst.
      Einige Rechner-/Notebookhersteller zum Beispiel bieten das Abschalten der/bestimmter USB-Ports über das BIOS an.

    • Blupp sagt:

      Ja es gibt mehrere Möglichkeiten. Von mir wird USBDLM eingesetzt, das bietet auch einen gewissen Schutz vor solchen USB-Geräten. Bei Anschluss einer USB-Tastatur oder eines USB-Netzwerkadapters, wird nachgefragt ob das Gerät aktiviert werden soll. Man hat dann wenigstens die Möglichkeit nein zu sagen. Die kleine Software ist Freeware.

  5. GPBurth sagt:

    Ich habe hier noch zwei USB-“Sticks” von EMC² rumliegen, die dasselbe machen. War Bestandteil einer Werbekampagne vor einigen Jahren und ich habe sie mir aufgehoben, damit sie als Beispiel dienen können, warum man nicht alles einstecken sollte.

    Und im Gegensatz zu Rittal, die ja primär aus der “mechanischen” Ecke kommen sollte EMC² solcherart Sicherheit kennen…

  6. Jörg sagt:

    Also von Rittal hätte ich mir weitaus mehr versprochen.

    Gerade die müssten doch mit solchen Sicherheitslücken rechnen und dann im Nachhinein so eine abgehalfterte Entschuldigung dahin blättern. Auf der einen Seite klar positiv weil das Problem jetzt erst mal beim Schopf gepackt wurde, auf der anderen Seite zeugt es nicht unbedingt von Intelligenz über die Sicherheitsrisiken, bei einem auf dem Postweg versendeten USB Stick, nach zu denken wenn das Kind schon in den Brunnen gefallen ist.

    Ich kann die Verärgerung bei den Leuten verstehen die es getroffen hat, heutzutage ist es halt nun mal ein einfaches per USB Stick den kompletten Computer zu hacken und lahm zu legen. Und wer hat schon gerne jemand fremden direkt an seinen Daten sitzen? Mal ganz abgesehen von privat und geschäftlich. Die Technik entwickelt sich weiter und somit nun mal eben auch die Sicherheitslücken.

    Bei uns in der Firma schützen wir uns vor solchen Attacken damit das die USB Slots abgeklebt sind und allgemein jeder das Verbot hat überhaupt einen USB Stick von außerhalb zu nutzen. Wir haben unsere Firmeneigenen USB Sticks, die auch nicht in andere Computer als die von der Firma gesteckt werden dürfen.

    Wir verschenken selber USB Sticks von Maikii, aber diese tun wir entweder in die Ware, die am Ende verschweißt geschlossen wird oder geben Sie direkt dem Kunden in die Hand. Der Postweg ist und bleibt bei externen Datenträgern immer ein Sicherheitsrisiko. Wenn Du als Firma nicht davon ausgehen kannst das das Produkt zu 150% sicher beim Kunden ankommt dann musst du dir etwas anderes überlegen.

    Ich denke da hat Rittal einfach mal ein bisschen viel geschlafen und das auf Kosten seiner Kunden.

    Jörg

  7. Werbung

  8. M. Schneider sagt:

    Heute bei uns in der Post. Ein USB-Stick der Zurich Versicherung AG, sicherlich tausendfach in der Versicherungsmaklerschaft verteilt, der sich als HID anmelden wollte (haben wir blockiert). Ich nehme das zum Anlass, um hier zu posten. Möchten Sie sich, Herr Born, ebenfalls noch einmal damit befassen? oder was schlagen Sie vor zu tun.
    Sinn dieses Sticks soll offenbar (wir haben es aus Sicherheitsgründen nicht probiert) der Aufruf einer URL sein, die ein neues Produkt erklärt.

    Es gibt also offenbar weiterhin Unternehmen, denen IT-Sicherheit nicht besonders wichtig ist.

    Gruß Michael

    • Günter Born sagt:

      Mail ist raus, ein paar Details wären hilfreich (z.B. Scan des Anschreibens, Empfängerangaben ggf. geschwärzt), Foto des Sticks – ggf. ein paar Hinweise, wie ihr geblockt habe und sonst was so einfällt. Dann mache ich noch einen separaten Blog-Beitrag drüber. Ich könnte danach auch die Versicherung kontaktieren, und um Stellungnahme bieten. Denke auf jeden Fall für den Hinweis.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.